データ保護カンファレンス2023参加報告

9月28日（木）と29日（金）の2日間に渡り、ドイツのデュッセルドルフで開催されたデータ保護カンファレンスに今年も参加してきました。今回は、そこで話された重要なテーマをいくつか抜粋し、分かりやすく紹介していきます。
 

米国へのデータ移転

欧州裁判所（EuGH）が米EU間のデータ移転の枠組み「プライバシーシールド」に無効判決を下してから3年が経ち、米国政府と欧州委員会は、2023年にプライバシーシールドの後継である新たな枠組みの設置に合意しました。こうして出来た新たな「データ・プライバシー・フレームワーク（英：Data Privacy Framework：DPF）」により、欧州連合は追加の協定を締結することなく、米国の認定されたデータ取得者へ個人データを移転できるようになります。ドイツの関係当局によると、現在使われてる追加の協定は今回の新たなDPFの適用によって、近いうちに効力を失うとのことです。これらの動きにより、各企業に求められるデータ主体（個人データにより識別される自然人）への情報提供義務に変更がある場合があります。
 

データ処理の目的変更

当初は予定していなかった目的のために、個人データを取扱わなければならないというシチュエーションは少なくありません。例えば、社内捜査のために従業員データを取扱う場合や、市場調査のためにECサイトの購買データを取扱う場合等がこれに当たります。こうした目的の変更がある場合、企業は、新たな目的と当初の目的の互換性を確かめるために互換性テストを実施しなければなりません。
 

研究を目的とした健康データの利用

健康データの学術的な取扱いについても言及されました。研究関連のデータの取扱いはGDPRで禁止されていないばかりでなく、ドイツ連邦データ保護法（ 独：Bundesdatenschutzgesetz：BDSG）で明確に積極的な活用が求められています。しかしながら、既存の規制では境界線が不明確であるため、ドイツの立法機関は健康データのより良い活用と連携を実現させるために、健康データ活用法（独： Gesundheitsdatennutzungsgesetz：GDNG）および医療制度デジタル推進法（独： Digital-Gesetz, DigiG）という２つのアプローチを推進しています。
 

この記事で取り上げたテーマは、カンファレンスで話し合われた数多くのトピックのほんの一部にすぎず、なかには物議を醸したものもありました。次回お客さまへ配信するニュースレターでは、皆様の実践に役立つ推奨事項を取り上げたいと考えています。

素晴らしい講演をしてくださった登壇者ならびにカンファレンスにいらした参加者の皆様おかげで、今年のカンファレンスでも非常に多くのことを学ぶことができました。

来年の秋もデュッセルドルフで行われるデータ保護カンファレンスに参加できることを、心より楽しみにしています。